kaniagostyn *UKS Kania Gostyń

Haslo. On 29.03.2005, Smigacznr1 <kasumi8@[kropas]wrote:

| Jesli nie znasz hasla albo klucza, to mozesz sobie darowac.
| Jesli znasz haslo, to masz lamanie RC4. Mozesz probowac brute-force, ale
| RC4 dalo sie calkiem ladnie zlamac kryptoanalitycznie.
| Jesli nie znasz hasla, a znasz klucz, to nie ma problemu.

A ja wlasnie koniecznie musze cos takiego obliczyc z takimi zalozeniami
jakie podalem. Zakladajac ze nie znam ani hasla ani klucza. musze takie
obliczenia przedstawic szefowi i innym wazniakom.


Lamanie szyfru w takich warunkach w najlepszym razie jest niewykonalne.
Owszem, mozesz ograniczyc sobie przestrzen par (klucz do RC4, haslo)
(odrzucasz wszystkie plainteksty, ktore zawieraja znaki
niealfanumeryczne [czy jakie tam mialy byc]), ale ta przestrzen nadal
bedzie za duza (| 1 element), zeby cokolwiek z tym robic. Musisz
przeformulowac zalozenia.

Przydalby sie rowniez
jakis internetowy kalkulator, bo Windowsowy sobie nie poradzi, a zwykly to
juz wogole.


Windowsowy sobie nie poradzi? To go nie doceniasz. Mozesz tez skorzystac
z uniksowego bc (binarke dla DOS-a widzialem kiedys w okolicach projektu
DJGPP).

Piotr Dembiński <pd@illx.orgwrote:
| Uzywac SSL. I slownika.

SSL da się dość łatwo złamać,


O?

ale sesję talk przez ssh na serwerze uniksowym już nie tak łatwo :)


A słownik? ;)

gophi, który łamie słowniki hasłami :D

command /cmode con rate=30 delay=1

I od razu wygodniej się pisze.

Mariusz Maslowski <maslowsk@wp.plwrites:
| Rzeczywiście uniwersalny - ten sam program łamie mksvira, hasła na
| Allegro i hasła GG (cracker.zip i mksvir.zip to ten sam plik) :-)

Skąd wiesz?  Badałeś MD5?  ;-)


Nie, użyłem uniksowego programu diff :-P

niekoniecznie. Jeżeli z jakiś powodów ewidencja haseł jest potrzebna ,
to admin powinien po prostu informować o tym usera już w momencie
zakładania konta. I pod ŻADNYM pozorem nie przechowywać tych haseł w
formie elektronicznej, skąd mogą zostać wykradzione.


A niby po co komu ewidencja hasel??? Zeby istnialo jeszcze jedno
miejsce (poza spodem klawiatury usera) skad mozna je, w dodatku
hurtem, podprowadzic?
Jak adnim nie d..a to wymusi na userach hasla odpowiednio mocne -
wystarczy stosowne badanie przy zakladaniu metodami slownikowymi, w
przypadkah szczegolnych od czasu do czasu puszcza sie cracka
probujacego te hasla lamac - i na kogo wypadnie na tego bec, haslo mu
sie blokuje, niech zalozy mocniejsze. W koncu po cos stworzono
trzymanie hasel w postaci nieodwracalnej funkcji skrotu.
A roznicz miedzy adminem znajacym a nieznajacym hasla uzytkownika jest
istotna - w przypadku pierwszym moze sie podszywac bez klopotu, w
drugim musi pod np. unices troche pracy w sfalszowanie (nietekstowej,
niespecjalnie dla czlowieka czytelnej) bazy polecenia last wlozyc -
inaczej bedzie widac czy na konto wchodzono przez login czy przez su z
roota.
Nie wiem jak w NT - za slabo znam ale jesli admin nie moze sprawdzic
dzialania na koncie uzytkownika (uniksowe su - <username) to bylabyto
istotna niedorobka w systemie.

On Sat, 21 Apr 2001, yayo wrote:
Grzegorz Góra <grzegorz.g@inetia.plwrote:

| Dzięki, ale nie skorzystam. Nie będę kupował systemu od wielkiego  brata
| by dołączyć to tego projektu.

| Oj, chyba nie o to im chodzi...

Chciałem wziąć udział  w tych  przedsięwzięciach (seti i cure)  
ale mnie skreślili w przedbiegach. Mam tu kilka komputerów
nudzących się 24godz/dobę 365dni w roku. Niestety, nie są to komputery
"Windowsowe" a dwa mainframy nie są również *uniksowe. Po drugie, są to
komputery firmy więc bez znajomości źródeł nie mogę puszczać obcego
oprogramowania. Gdyby udostępniono źródła znalazło by się sporo
zapaleńców, którzy by to sportowali na większość znanych OS-ów.
Idea szczytna ale wykonanie marne.
I żeby nie było że to off topic - piętnuje ich za nieświadome
promowanie firmy podejrzanej o praktyki monopolistyczne.


BTW: ktos prosi Cie o uruchamianie na swoim komputerze programu, ktory mu
przyniesie jakies korzysci, a nie chce powiedziec, co ten program tak
naprawde robi (czyli nie chce podac kodu zrodlowego). A moze on liczy
bomby atomowe, a moze lamie kody kart kredyowych, a moze banalnie crackuje
nasze passwd?

Pietnuje tych, co to na kazde haslo leca pomagac, nie zadajac przynajmniej
uczciwego traktowania...

On 2004-09-30, kb wrote:
Witam
Najpierw kilka słów z czym mam do czynienia:
Jest sobie szkolna pracownia komputerowa, zainstalowana z płytek dostarczonych
przez MEN. Jest 15 stacji + serwer/router.
Każda stacja robocza to Win2k + SP3, z standardowym użytkownikiem
Administrator (gość wyłączony)
Serwer to Win2k Server + SP3, skonfigurowani użytkownicy Administrator +
studenci (student1c, student2c, student1a, kto miał z tym do czynienia ten wie
o co chodzi), serwer chodzi non-stop.

Na stacjach roboczych można się logować lokalnie lub do domeny. Hasło na
Administratora (na sewerze) i do wszystkich lokalnych zostało zmienione ze
standardowego zaq12wsx na inne, 10 znakowe.


Krotkie. Moje na uzytkownika ma 15 znakow.

No i stało się, że hasełko ktoś, hehe, "poznał". Jak? Nie mam pojęcia...
Znałem je tylko ja i nie było możliwośći podpatrzenia...
Zaintrygowany poszukałem trochę o łamaniu haseł w Windowsie NT/2k itd. i
znalazłem kilka narzędzi, lecz żadne nie działa.
PWDUMP2 - uruchomiony z konta student nie ma odpowiednich uprawnień do
wyciągnięcia hashy
PWDUMP3e - do wyciągnięcia haseł wymaga dostępu administracyjnego, więc ktoś
musiałby _najpierw_ znać to hasło...


A nie da sie podsniffowac hasza przesylanego po sieci lokalnej?

Aha, na serwerze jest cała masa usług, SMTP, POP3, HTTP, Kerberos chyba też, i
inne. Oparte są one na IIS 5.0, więc trochę dziurawym.


"Kerberos chyba tez"? W takim razie nie, nie ma Kerberosa. Albo wiesz,
ze jest Kerberos, bo szarpales sie z jego uruchomieniem, albo nie
szarpales sie, a wtedy nie ma. Nawiasem mowiac, Kerberos jako system
zostal tak pomyslany, zeby rozlozyc zabezpieczenia na dwa dodatkowe
serwery, serwer uwierzytelniania i serwer biletow. Stawianie wszystkiego
na jednej maszynie prawie mija sie z celem.

To teraz sprawa IIS. Nie znam tej platformy, nie pracowalem na IIS.
Skoro twierdzisz, ze jest troche dziurawa, to wierze na slowo. A o ile
dobrze pamietam, to IIS dziala z uprawnieniami administratora (swoja
droga, genialny pomysl, uprawnienia administratora dla serwera wuwuwu).
Jak myslisz, trudno by bylo wlamac sie na serwer przez IIS?

Czy ktoś zna sposób w jaki ktoś mógłby wyciągnąć z serwera albo z komputera
lokalnego hasło, albo chociaż hash hasła?


Podalem ze dwie metody, pewnie jest wiecej. Keylogger? Imitator okienka
logowania? (dlatego wlasnie na ogolnodostepnych stacjach roboczych
wlacza sie zwykle wymog uzycia three-finger salute)

Ja bym ci radzil zabawic sie z postawieniem jakiegos uniksa, bo o IIS
nie czytalem zbyt duzo pochlebnych opinii i jakos nie widze go w roli
serwera WWW czy w jakiejkolwiek innej. Osobiscie wole Apache +
Exim/Postfix.

| Logować? Na maszynie biurkowej? Przecież to w większości maszyny
| single-user, po co tam logowanie? Ma startować, i już.


maszyny biurkowe to nie sa tylko w domu - biurkowe stricte to mi sie
bardziej kojazy z komputerem w szkole czy w firmie a tu raczej logowanie sie
i konta to dobra rzecz, chociaz logowac sie !lokalnie! mozna rowniez poprzez
klikniecie w ikonke [bez podawania hasla] na domowej maszynie podczas gdy z
kompa kozysta kilku domownikow np. mama tata coreczka i synek - zeby nie
bylo burdelu i nikt sie nie klucil kazdy ma swoje oddzielne konto i katalog
w /home to jest jaknajbardziej pozadane i to jest cecha linuksa...
oczywiscie z tych ikonek wykluczylbym jednak root'a i wogole bezposrednie
korzystanie z roota, po to jest sudo i inne ulatwienia zeby jednak
pozostawic sobie ten poziom bezpieczenstwa jakie oferuje linuks...

dlatego ujelem !lokalnie! w wykrzykniki zeby zaznaczyz iz linuks jest
rowniez z natury swojej systemem sieciowym i logujemy sie nie tylko lokalnie
a przy zdalnym logowani radzilbym jednak pozostac przy uzywaniu hasel czy
kluczy autoryzacyjnych...

| Ponieważ wcześniej uważałeś logowanie za istotę Uniksa, zakładam, że
| nienależy traktować tego zdania dosłownie. Mógłbyś mi wyjaśnić co stanie
| się gdy domowa maszyna będzie startować, logując się na domyślne konto i
| nie wymagając wklepywania hasła, czy innej autoryzacji?
Nic. Tak już można mieć. Ja chcę pokazać, że linux "by default" ma takie coś
jak logowanie. Które na maszynie biurkowej jest zwykle uciążliwe
i niepotrzebne.  I żeby się go pozbyć, należy ominąć ten etap. Tak samo, jak
pomija się montowanie płyt CD przez użytkownika za pomocą daemonów
monitorujących cd-rom. Są to tak samo zgodne "z naturą" rozwiązania, jak
hodowanie ogórka w butelce. Czy jest sens robić z linuksa system dla
całkowitego ZU, skoro w założeniach jest wiele takich upierdliwości które
trzeba maskować dodatkowymi daemonami czy inszymi rozwiązaniami? Czy inny
system operacyjny, w którym rozwój nie musi iść w budowanie kolejnego
supermounta nie ma większych szans na odniesienie sukcesu? Bo on nie będzie
się zajmował tworzeniem kolejnych mostów ZU<root, bo takie coś będzie już
z definicji posiadał. Innymi słowy - są systemy lepiej predysponowane do
bycia "systemem dla totalnego ignoranta informatycznego" niż linux. Robienie
z Linuksa drugiego MacOS to uczenie świni sztuki latania. Pewnie, da się,
ale twoja latająca świnia nigdy nie będzie w tym lepsza od gołębia
pocztowego sąsiadki.


w pelni sie zgadzam :]

Linux nie nadaje się do wszystkiego. I są rzeczy, do których trzeba go
zmuszać. System zmuszany do łamania zachowań leżących w jego naturze zawsze
będzie gorszy od systemu, który wykonuje zadania do których został
zaprojektowany od A do Z. Można było wstawić kratę do auta osobowego
i udawać że to ciężarówka. Ale gdy przychodzi do prawdziwej roboty, to taka
"przeróbka" jest gorsza od pojazdu który już na desce kreślarskiej miał
wykonywać te zadania.


choc nie zgodze sie ze lokalny autologin na domowa maszyne jest czyms zlym -
jest ulatwieniem, nalezy jednak wiedziec w tej materii co sie robi
szczegolnie gdy komp jest na stale wpiety do sieci... mam nadzieje ze tez
miales to na mysli... ktos tu ostatnio podal link do przetlumaczonego tekstu
"root 101" bardzo udany byl tam przyklad z domkiem jednorodzinnym i blokiem
mieszkalnym...

Jeszcze inaczej: Linux może stać się systemem dla ZU. Ale to będzie cerowana
skarpeta, z kupą dodatkowych serwisów których zadaniem będzie odkręcanie
i maskowanie tego, co linux ze swojej natury chce robić. To będzie
pośmiewisko, nie system. Będzie się sprawdzał w swojej nowej roli tak samo
dobrze, jak WindowsXP w roli serwera www i kont shellowych.


ot co! predzej widze linuksa kupowanego wraz z adminem [na zasadach
uslugi] ktory rozwiazuje nasze problemy i przyczynia sie do ulatwiania zycia
ZU i wykonywania za nich bardziej skomplikowanych czynnosci niz okaleczanie
tego systemu celem ulatwienia zycia ZU bo to drugie nie ma sensu...

| Mylisz środki z celami. Mount lub login nie mają nic wspólnego z istotą
| systemu.
Nie, nie mylę. Ja jestem realistą, opisuję to, co widzę jako przeszkody
których linux się nie pozbędzie w sensowny sposób. Jeśli to (w miarę stałe
cechy) nie jest "naturą systemu", to co nią jest?


hoppke ma absolutna racje - login JEST istotna cecha systemu
_wielodostepowego_ czy _wielouzytkownikowego_ mount rowniez z racji takiego
a nie innego sposobu rozmieszczenia urzadzen, plikow i praktycznie
wszystkiego w systemi - struktura drzewiasta...

| Nie. Chcę powiedzieć to, co powiedziałem - zwiększa napływ i lamerii,
| i guru. Proporcje się z pewnością zmieniają (coraz więcej ZU), ale
| przy okazji faktycznie dochodzą też np. nowi hakerzy jądra, tłumacze,
| koderzy, graficy.

I wydaje Ci się, że ci drudzy nie znajdą się wśród tych, o których
rezygnacji z powodu niewygód odtwarzarki mówiliśmy?


Nie, do diabła, nie! Nie wkręcaj mnie w przesłuchanie godne Hiszpańskiej
Inkwizycji!

<dialog
- Mieszka pan sam, prawda?
- No, niezupełnie, mam kota w domu.
- Aha...
- No, bo ja w ogóle to lubię zwierzęta, i koty, i psy, i w ogóle wszystkie
  zwierzęta. Ale najbardziej to koty. Od małego je lubiłem.
- Aha... no, to skoro przyznał się pan już do zoofilii, to może porozmawiajmy
  o pana dzieciństwie...
</dialog

| Logować? Na maszynie biurkowej? Przecież to w większości maszyny
| single-user, po co tam logowanie? Ma startować, i już.

Ponieważ wcześniej uważałeś logowanie za istotę Uniksa, zakładam, że
nienależy traktować tego zdania dosłownie. Mógłbyś mi wyjaśnić co stanie
się gdy domowa maszyna będzie startować, logując się na domyślne konto i
nie wymagając wklepywania hasła, czy innej autoryzacji?


Nic. Tak już można mieć. Ja chcę pokazać, że linux "by default" ma takie coś
jak logowanie. Które na maszynie biurkowej jest zwykle uciążliwe
i niepotrzebne.  I żeby się go pozbyć, należy ominąć ten etap. Tak samo, jak
pomija się montowanie płyt CD przez użytkownika za pomocą daemonów
monitorujących cd-rom. Są to tak samo zgodne "z naturą" rozwiązania, jak
hodowanie ogórka w butelce. Czy jest sens robić z linuksa system dla
całkowitego ZU, skoro w założeniach jest wiele takich upierdliwości które
trzeba maskować dodatkowymi daemonami czy inszymi rozwiązaniami? Czy inny
system operacyjny, w którym rozwój nie musi iść w budowanie kolejnego
supermounta nie ma większych szans na odniesienie sukcesu? Bo on nie będzie
się zajmował tworzeniem kolejnych mostów ZU<root, bo takie coś będzie już
z definicji posiadał. Innymi słowy - są systemy lepiej predysponowane do
bycia "systemem dla totalnego ignoranta informatycznego" niż linux. Robienie
z Linuksa drugiego MacOS to uczenie świni sztuki latania. Pewnie, da się,
ale twoja latająca świnia nigdy nie będzie w tym lepsza od gołębia
pocztowego sąsiadki.

Linux nie nadaje się do wszystkiego. I są rzeczy, do których trzeba go
zmuszać. System zmuszany do łamania zachowań leżących w jego naturze zawsze
będzie gorszy od systemu, który wykonuje zadania do których został
zaprojektowany od A do Z. Można było wstawić kratę do auta osobowego
i udawać że to ciężarówka. Ale gdy przychodzi do prawdziwej roboty, to taka
"przeróbka" jest gorsza od pojazdu który już na desce kreślarskiej miał
wykonywać te zadania.

Jeszcze inaczej: Linux może stać się systemem dla ZU. Ale to będzie cerowana
skarpeta, z kupą dodatkowych serwisów których zadaniem będzie odkręcanie
i maskowanie tego, co linux ze swojej natury chce robić. To będzie
pośmiewisko, nie system. Będzie się sprawdzał w swojej nowej roli tak samo
dobrze, jak WindowsXP w roli serwera www i kont shellowych.

| Tyś rzekł. Weź np. podczepianie płyt CD - niewygodne. Ale konieczne.
| Aby tego uniknąć, wymyśla się kolejne supermounty, maskując naturalne
| cechy systemu. Chyba nie powiesz, że jakiś "supermount" jest
| oczywistym, naturalnym i logicznym rozwinięciem Linuksa? Albo
| wprowadzanie rozdzielenia root/non-root. W systemie dla ZU?

Mylisz środki z celami. Mount lub login nie mają nic wspólnego z istotą
systemu.


Nie, nie mylę. Ja jestem realistą, opisuję to, co widzę jako przeszkody
których linux się nie pozbędzie w sensowny sposób. Jeśli to (w miarę stałe
cechy) nie jest "naturą systemu", to co nią jest?

| No to po co się martwić ZU? Niech linux zostanie jaki jest, oni zrażą
| się teraz, spróbują znowu za rok. Wyjdzie na to samo, tylko nieco
| później, a programiści przez ten czas będą ulepszać bebechy systemu,
| zamiast zajmować się maskowaniem istnienia mount-a.

Boże, litości.


Nie ma listości. To mówiłem ja, Hoppke, oporny dyskutant drugiej klasy.

Nie wiem czy wiesz, ale odkryłeś niezawodny przepis na poprawę sytuacji.


Nic nie odkryłem. I do niczego się nie przyznam.

| Na pewno nie chceszy przyjąć tamtego warunku jako koniecznego?

Mamy jakieś problemy z komunikacją:

MP      - Użytkowników nie wolno odstraszać, bo są przydatni.
hoppke - Aby byli przydatni muszą używać linuksa, Nie napisałeś o tym,
          bo nie pasuje to do twojej argumentacji.
MP      - Wręcz przeciwnie, jak najbardziej pasuje. O tym cały czas
          piszę. Bez sensu jest stawianie im sztucznych barier. Tracąc
     ich nic nie można zyskać. Wkładając minimalny wysiłek w
     ułatwienie im startu zyskujemy dużo.
hoppke - Czemu więc nie chcesz się zgodzć, że muszą używać linuksa?

Nie rozumiem, o co Ci chodzi.


Ja też nie. Tzn. nie wiem, o co ci chodzi. Jakoś w tym miesiącu nie możemy
się dogadać.

BTW, ja się już zgubiłem. Jakiego stanowiska miałem w sumie bronić?

Jak według Ciebie powinienem odpowiadać na twierdzenie, że użytkownicy
winmodemów pragną używać ich tylko pod Windows, ich istnienie niczego
nie wnosi do rozwoju, a sterowniki najwyraźniej powstają tylko dlatego,
że komuś się nudzi?


Chyba ironizować. Tak, to najlepsze wyjście. Masz rację, ze mną się nie da
zwykle inaczej.

Wnioskuję o zakończenie wątku, bo moja pozycja już się rozmyła i zauważyłem,
że każda moja odpowiedź sprowadza się do odruchowego zaprzeczania twoim
wypowiedziom. Nie jestem chyba w stanie tego dalej pociągnąć, i nie widzę
też szansy dla siebie na ucieczkę w offtopiki.

*Poddaję się*